Home » News » Cybersecurity » Ransomware-Szene im Umbruch: Aktuelle Entwicklungen und wichtige Trends

Ransomware-Szene im Umbruch: Aktuelle Entwicklungen und wichtige Trends

Ransomware bleibt eine ständige Bedrohung, verändert sich jedoch stetig. Während große Akteure wie LockBit und ALPHV/BlackCat verschwinden, rücken neue Gruppen nach. Ransomware-as-a-Service (RaaS) entwickelt sich weiter, und sogar Staaten wie Russland und Nordkorea nutzen sie als Einnahmequelle. Neben diesem Strukturwandel zeichnen sich markante Trends ab.

·

Redaktion IT-SICHERHEIT (cs)

3 Min. Lesezeit
Laptop-Bildschirm mit Ransomware-Warnung
Foto: ©AdobeStock/Suttipun

Ransomware entwickelt sich ständig weiter – die Bedrohungslage wird unberechenbar. Die führenden Erpressergruppen wechseln fast monatlich, während Einzelpersonen und kleine Teams eine zunehmend wichtige Rolle spielen. Neue Gruppen, die sich auf dem kriminellen Markt etablieren wollen, senken zudem die Hürden für den Einstieg neuer Mitglieder und Unterstützer.

Strukturwandel in der Cyberkriminalität

Kriminelle Ransomware-Gruppen funktionieren ähnlich wie Softwareunternehmen und Dienstleister. Einige zentrale Rollen sind essenziell für den reibungslosen Ablauf ihrer Angriffe:

  • Operatoren fungieren als Manager, koordinieren die Entwicklung, sichern Budgets und treiben Innovationen voran.
  • Developer entwickeln und pflegen die Schadsoftware, setzen die technische Infrastruktur auf und ermöglichen Angriffe.
  • Initial Access Broker spüren Sicherheitslücken in Unternehmensnetzwerken auf und schaffen dauerhaften Zugang für spätere Angriffe.
  • Affiliates sind unabhängige Hacker, welche die Ransomware in Zielunternehmen implementieren und für eine effektive Verbreitung sorgen.

Neben diesem Kernteam gibt es weitere Spezialisten, etwa für Datenanalyse, Kommunikation und Verhandlungen. Nach einem erfolgreichen Angriff setzen Unterhändler alles daran, das maximale Lösegeld herauszuholen.

Veränderte Rollenverteilung in RaaS-Gruppen

Ransomware-as-a-Service (RaaS) wird effizienter und agiler. Besonders Initial Access Broker und Entwickler gewinnen an Einfluss:

  • Initial Access Broker warten nicht mehr auf Aufträge, sondern kompromittieren eigenständig mehrere Unternehmen und verkaufen den Zugang an andere Kriminelle.
  • Entwickler leiten zunehmend kleinere Teams und lassen spezialisierte Tools entwickeln, etwa zur Umgehung von Endpoint Detection & Response (EDR), für Backdoors oder für unauffällige Angriffsinfrastrukturen.

Diese flexiblere Struktur macht RaaS-Gruppen noch anpassungsfähiger und schwerer zu bekämpfen.

Grafik Rollenverteilungen in der RaaS-Ökonomie
Rollenverteilungen in der RaaS-Ökonomie

Neue Ransomware-Trends: Von Fragmentierung bis Hacktivismus

Der zunehmende Wettbewerb und die flexible Arbeitsweise von Ransomware-Gruppen erschweren die Einschätzung der Bedrohungslage. Diese Gruppen passen ihre Taktiken an und setzen verstärkt auf Angriffe auf ganze Netzwerke statt auf einzelne Geräte. Dabei zeichnen sich fünf zentrale Trends ab:

1. Fragmentierung und wechselnde Partnerschaften

Durch öffentlich verfügbare Anleitungen und den geleakten Code etablierter Gruppen wie LockBit und Babuk können neue Akteure schnell eigene Ransomware-as-a-Service (RaaS)-Plattformen starten. Viele arbeiten parallel mit mehreren Partnern und wählen je nach Angriffsziel die effektivste Ransomware-Variante aus. Dabei spielen Faktoren wie die eingesetzte Sicherheitssoftware des Opfers eine entscheidende Rolle.

2. Datenklau als Hauptziel

Hacker verschlüsseln nicht nur Daten, sondern nutzen sie auch zur finanziellen Verwertung. Datenexfiltration gewinnt an Bedeutung, da die Zahl der Sicherheitslücken stark gestiegen ist – von 18.349 im Jahr 2020 auf 40.011 im Jahr 2024 (Quelle: NIST NVD). Immer mehr RaaS-Gruppen attackieren Edge-Geräte, um dort Schwachstellen auszunutzen. Unternehmen sollten sich nicht nur vor Datenverschlüsselung schützen, sondern auch das unbefugte Abfließen sensibler Informationen verhindern.

3. Staatlich unterstützte Ransomware-Angriffe

Einige Staaten setzen Ransomware gezielt als finanzielle und geopolitische Waffe ein.

  • Russland und Nordkorea nutzen Lösegelder zur Finanzierung militärischer oder technologischer Programme.
  • Ransomware-Angriffe schwächen Zielländer wirtschaftlich und sorgen für gesellschaftliche Unruhe.
  • Die Grenzen zwischen Cyberkriminalität und staatlicher Spionage verschwimmen, was staatlichen Akteuren Strafverfolgung erschwert.

4. Keine Tabu-Branchen mehr

Viele RaaS-Gruppen setzen ihre bisherigen Einschränkungen bei der Opferwahl außer Kraft. Statt gezielt bestimmte Unternehmen oder Branchen anzugreifen, suchen sie opportunistisch nach Schwachstellen in jeder verfügbaren Infrastruktur. Ein besonders betroffenes Beispiel ist das Gesundheitswesen, wo laut der europäischen Cybersicherheitsagentur ENISA die Zahl der Ransomware-Angriffe seit 2021 kontinuierlich steigt.

5. Hacktivismus im Stil der Cyberkriminalität

Politisch motivierte Hackergruppen greifen zunehmend zu Ransomware-Methoden, um ihre Ziele zu finanzieren oder durchzusetzen. Ein Beispiel ist die Gruppe CiberInteligenciaSV, die gezielt kritische Infrastrukturen attackiert. Dieser Trend deutet darauf hin, dass Hacktivismus eine Renaissance im digitalen Raum erlebt.

Fazit: Ransomware bleibt unberechenbar

Die Ransomware-Szene verändert sich strukturell, taktisch und strategisch – getrieben von wirtschaftlichem Pragmatismus. Unternehmen müssen sich breit gegen Angriffe aufstellen und sich nicht nur auf Prävention verlassen. Entscheidend ist die Fähigkeit, Angriffe frühzeitig zu erkennen, Systeme zu schützen und im Ernstfall schnell wiederherzustellen.

Martin Zugec, Technical Solutions Director bei Bitdefender

Weitere Artikel zum Thema: 

Ransomware-Risiko: Feiertage im Visier der Angreifer

Studie: Zwei Drittel der Gesundheitseinrichtungen von Ransomware betroffen

Ransomware-Gruppen forcieren Zahlungen

Andere interessante News

Digitale Darstellung einer Bedrohungssituation

Bitkom veröffentlicht düstere Cybercrime-Bilanz

Deutlich mehr als die Hälfte der Internetnutzer wurde in den vergangenen zwölf Monaten Opfer von Cyberkriminalität – doch nur jeder Vierte erstattete Anzeige. Der durchschnittliche...

Cybersecurity
Phishing-Symbol

Studie: Fertigungsbranche häufigstes Ziel von Spear-Phishing-Angriffen

Aktuelle Studienergebnisse belegen, dass die Fertigungsbranche das Hauptziel von Spear-Phishing-Angriffen ist. In den vergangenen sechs Monaten entfielen nicht weniger als 41 Proze...

Cybersecurity
Hände mit Smartphone, die geöffnete X-App zeigt

Neue Phishing-Kampagne torpediert wichtige X-Accounts

Eine gezielte Phishing-Kampagne nimmt hochrangige X-Konten ins Visier – darunter US-Politiker, einflussreiche Journalisten, führende Technologieunternehmen, Kryptowährungsorganisat...

Cybersecurity